# Cherry Picker > Tipo: **malware** · S0107 · [MITRE ATT&CK](https://attack.mitre.org/software/S0107) ## Descrição [[s0107-cherry-picker|Cherry Picker]] é um raspador de memória de ponto de venda (PoS) utilizado para roubar dados de cartões de crédito de sistemas de varejo. O malware realiza scraping de memória de processos de pagamento em terminais PoS para extrair dados de faixa magnética (Track 1 e Track 2) antes da criptografia. O Cherry Picker foi documentado pela Trustwave em 2015 e demonstra sofisticação técnica incomum entre malware PoS da época. Utiliza AppInit DLLs ([[t1546-010-appinit-dlls|T1546.010]]) para injeção persistente em todos os processos que carregam user32.dll, garantindo que o scraper sejá executado no contexto de aplicações de pagamento. Os dados coletados são exfiltrados via protocolo não-criptografado ([[t1048-003-exfiltration-over-unencrypted-non-c2-protocol|T1048.003]]) e arquivos são deletados após transmissão ([[t1070-004-file-deletion|T1070.004]]) para dificultar análise forense. O mecanismo de limpeza de rastros é particularmente avançado comparado a outros malware PoS do mesmo período. A atribuição do Cherry Picker permanece incerta, sem associação confirmada a grupos específicos. O malware representa uma ameaça relevante para o setor de varejo e hospitality, setores com alta concentração de terminais PoS Windows e frequentemente com políticas de atualização menos rigorosas, tornando-os vulneráveis a este tipo de ameaça. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1546-010-appinit-dlls|T1546.010 - AppInit DLLs]] - [[t1048-003-exfiltration-over-unencrypted-non-c2-protocol|T1048.003 - Exfiltration Over Unencrypted Non-C2 Protocol]] ## Detecção - Monitorar registro de AppInit DLLs em `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs` por DLLs não assinadas ([[t1546-010-appinit-dlls|T1546.010]]) - Detectar acesso à memória de processos de aplicação PoS por processos não relacionados - Alertar sobre criação de arquivos em caminhos temporários seguida de conexões de rede HTTP não criptografadas ([[t1048-003-exfiltration-over-unencrypted-non-c2-protocol|T1048.003]]) - Identificar deletamento de arquivos por processos com histórico de acesso a dados de cartão ([[t1070-004-file-deletion|T1070.004]]) - Regra Sigma: DLL carregada em todos os processos user32 sem assinatura de código válida ## Relevância LATAM/Brasil O [[s0107-cherry-picker|Cherry Picker]] e malwares similares de PoS representam uma ameaça significativa para o varejo brasileiro. O Brasil possui um dos maiores mercados de cartões de pagamento do mundo, com alto volume de transações em terminais PoS físicos. Redes de varejo de médio porte, restaurantes, postos de combustível e outros estabelecimentos com terminais PoS Windows desatualizados são alvos vulneráveis. Investigações da Febraban e da Polícia Federal brasileira documentaram casos de comprometimento de terminais PoS no país, confirmando a relevância desta categoria de ameaça para o mercado brasileiro. ## Referências - [MITRE ATT&CK - S0107](https://attack.mitre.org/software/S0107)